Attaque de cluster Kubernetes
Qu'est-ce que Attaque de cluster Kubernetes ?
Attaque de cluster KubernetesIntrusion sur un cluster Kubernetes (K8s) exploitant des APIs exposees, un RBAC faible ou des charges vulnerables pour prendre le controle du plan de controle ou des noeuds.
Une attaque de cluster Kubernetes vise le kube-apiserver, le kubelet, etcd ou les charges elles-memes pour executer du code, voler des secrets ou prendre le controle. Les points d'entree frequents incluent un kube-apiserver expose sans authentification, des ports kubelet en lecture/ecriture accessibles, des webhooks d'admission vulnerables, des tokens de service-account voles et des pods sur-privilegies. Depuis un acces initial, les attaquants cherchent les pivots pod-vers-noeud via hostPath ou conteneurs privilegies, rejouent des tokens contre l'API ou abusent de bindings cluster-admin. Les defenses combinent RBAC strict, authentification OIDC, network policies, securite runtime (Falco, Tetragon), admission controllers (Kyverno, OPA Gatekeeper) et images minimales signees.
● Exemples
- 01
Une API Kubelet exposee sur le port 10250 permet d'executer des commandes arbitraires dans les pods du noeud.
- 02
Un token de service-account fuite donne le droit de lister les secrets dans tous les namespaces.
● Questions fréquentes
Qu'est-ce que Attaque de cluster Kubernetes ?
Intrusion sur un cluster Kubernetes (K8s) exploitant des APIs exposees, un RBAC faible ou des charges vulnerables pour prendre le controle du plan de controle ou des noeuds. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Attaque de cluster Kubernetes ?
Intrusion sur un cluster Kubernetes (K8s) exploitant des APIs exposees, un RBAC faible ou des charges vulnerables pour prendre le controle du plan de controle ou des noeuds.
Comment fonctionne Attaque de cluster Kubernetes ?
Une attaque de cluster Kubernetes vise le kube-apiserver, le kubelet, etcd ou les charges elles-memes pour executer du code, voler des secrets ou prendre le controle. Les points d'entree frequents incluent un kube-apiserver expose sans authentification, des ports kubelet en lecture/ecriture accessibles, des webhooks d'admission vulnerables, des tokens de service-account voles et des pods sur-privilegies. Depuis un acces initial, les attaquants cherchent les pivots pod-vers-noeud via hostPath ou conteneurs privilegies, rejouent des tokens contre l'API ou abusent de bindings cluster-admin. Les defenses combinent RBAC strict, authentification OIDC, network policies, securite runtime (Falco, Tetragon), admission controllers (Kyverno, OPA Gatekeeper) et images minimales signees.
Comment se défendre contre Attaque de cluster Kubernetes ?
Les défenses contre Attaque de cluster Kubernetes combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Attaque de cluster Kubernetes ?
Noms alternatifs courants : Compromission de cluster K8s, Intrusion Kubernetes.
● Termes liés
- cloud-security№ 211
Container Escape
Exploit qui rompt l'isolation entre un conteneur et son hote, donnant a l'attaquant l'execution de code sur le noeud sous-jacent ou le noyau.
- cloud-security№ 505
Escalade de privileges IAM
Detournement de permissions IAM existantes dans le cloud pour obtenir des privileges superieurs, souvent par edition de policy, prise de role ou auto-attribution de droits admin.
- cloud-security№ 190
Vol de tokens cloud
Vol de tokens OAuth, SAML ou de signature aupres d'un service d'identite cloud et rejeu pour usurper utilisateurs ou services sans avoir besoin de mots de passe.
- cloud-security№ 183
Exfiltration de donnees cloud
Copie ou transfert non autorise de donnees hors d'un compte cloud, souvent via APIs de stockage, snapshots, replication ou comptes controles par l'attaquant.
- cloud-security№ 255
Finding CSPM
Alerte produite par un outil de Cloud Security Posture Management lorsqu'une ressource cloud viole un benchmark, une politique ou une regle de conformite.
● Voir aussi
- № 182Cryptojacking cloud